Un outil de suivi installé sur les sites web de nombreux hôpitaux américains a recueilli des « informations sensibles » sur la santé des patients, « y compris des détails sur leur état de santé, leurs prescriptions et leurs rendez-vous chez le médecin », et les a envoyées à Facebook.
Un tiers des hôpitaux concernés
Sur les « 100 meilleurs hôpitaux américains selon Newsweek », 33 avaient installé le traceur Meta Pixel [1]. Chaque fois qu’une personne cliquait sur un bouton pour prendre un rendez-vous chez le médecin, des données reliées à une adresse IP[2] étaient transmises à Facebook.
Par exemple, en cliquant sur le bouton « Prendre un rendez-vous en ligne maintenant » sur le site web de l’hôpital Froedtert, dans le Wisconsin, « le texte du bouton, le nom du médecin et la pathologie sélectionnée dans un menu déroulant : “Alzheimer” » ont été transmises à Facebook selon un test réalisé par The Markup, un organisme dédié à l’étude de l’influence des technologies sur la société.
Meta Pixel a également été retrouvé dans les portails patients de sept systèmes de santé. Des portails protégés au moyen de mots de passe. Les données collectées comprenaient « le nom des médicaments pris par les patients, la description de leurs réactions allergiques et des détails sur leurs prochains rendez-vous chez le médecin ».
Un « échange de bons procédés » ?
Meta Pixel est un code qui suit les utilisateurs lorsqu’ils naviguent sur un site web, enregistrant les pages qu’ils visitent, les boutons sur lesquels ils cliquent et certaines informations qu’ils saisissent dans des formulaires. Il est présent « sur plus de 30 % des sites les plus populaires du web ».
En échange de l’installation de Meta Pixel, la société fournit aux propriétaires de sites internet des analyses sur les publicités qu’ils ont diffusées sur Facebook et Instagram, et des outils pour cibler les personnes qui ont visité leur site.
La plupart des hôpitaux n’ont pas souhaité expliquer pourquoi ils avaient choisi d’installer Meta Pixel sur leurs sites web.
La délicate définition des données de santé
Le Houston Methodist Hospital, au Texas a commencé à utiliser le traceur en 2017. Sa porte-parole Stefanie Asin, affirme avoir « confiance » dans « les garanties de Facebook », et dans « le fait que les données partagées ne sont pas des informations de santé protégées ». Selon elle, les informations transmises ne relèvent pas « des informations de santé protégées », car une personne cliquant sur un bouton « prendre rendez-vous » pourrait ne pas l’honorer, ou bien seulement vouloir se renseigner pour un tiers.
Mais selon « d’anciens régulateurs, des experts en sécurité des données de santé et des défenseurs de la vie privée », les hôpitaux en question pourraient avoir violé le Health Insurance Portability and Accountability Act (HIPAA). Cette loi fédérale interdit de partager des données de santé personnelles avec des tiers, à moins que la personne ait « expressément donné son consentement préalable ou dans le cadre de certains contrats ». Mais ni les hôpitaux ni Meta n’ont déclaré avoir mis en place de tels contrats, et aucune preuve de recueil du consentement n’a été fournie.
Par ailleurs, Facebook n’est pas soumis à l’HIPAA. Bien que le réseau social soit capable de déduire des détails sur l’état de santé de personnes par divers moyens : par exemple, le fait qu’une personne “aime” un groupe Facebook associé à une maladie particulière. Meta Pixel permet un recueil encore plus direct d’informations.
La réaction des hôpitaux
Après avoir examiné les conclusions de l’enquête réalisée par The Markup, l’hôpital Froedtert a indiqué avoir retiré l’outil Meta Pixel de son site web, « par excès de prudence » selon son porte-parole, Steve Schooff. Au 15 juin, six autres hôpitaux avaient fait de même, ainsi que cinq des sept systèmes de santé qui avaient installé le traceur.
Les 33 hôpitaux concernés par la transmission de ces données à Facebook ont enregistré « plus de 26 millions d’admissions de patients et de visites ambulatoires en 2020 ».
La collecte de données par Facebook sur les sites web des hôpitaux a déjà fait l’objet de recours collectifs dans plusieurs Etats. « Avec des résultats mitigés ». En effet, ces affaires concernent des données qui, selon les experts en droit de la santé, sont « sensibles » mais « moins réglementées que les données de la santé collectées au moyen du Meta Pixel ».
[1] Meta est la société mère de Facebook
[2] Identifiant qui est comme l’adresse postale d’un ordinateur et qui peut généralement être relié à un individu. Si un patient est connecté à Facebook lorsqu’il visite le site web d’un hôpital où Meta Pixel est installé, « certains navigateurs joindront des cookies tiers – un autre mécanisme de suivi – qui permettent à Meta de lier les données du pixel à des comptes Facebook spécifiques ».
Source : The Markup, Todd Feathers, Simon Fondrie-Teitler, Angie Waller, Surya Mattu (16/06/2022)
